当前位置: 本站首页 >> 管理制度 >> 正文

湖北中医药大学网络与信息安全管理办法(试行)

2021年06月07日 15:28  点击:[]

第一章  总则

第一条 为加强学校网络与信息安全管理,提高网络与信息安全防护能力和水平,保障学校各项事业健康有序发展,根据《中华人民共和国网络安全法》、《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技〔2014〕4号)、《教育部办公厅关于印发<教育行业网络安全综合治理行动方案>的通知》(教技厅〔2017〕3号)等文件要求,结合我校实际,特制定本办法。

第二条 本办法所称网络与信息安全工作,是指为使用学校建设、运行、维护或管理并支撑学校教学、科学和管理等各项事业的信息资产(信息及信息系统)的机密性、完整性、可用性等得到保持、不被破坏所开展的相关管理和技术工作。

本办法所指学校各二级单位包括各机关部、处、室,学院、直属单位、群团组织以及学校独立设置的有关科研机构。

第三条 学校按照“谁主管谁负责、谁运维谁负责、谁使用谁负责“的原则,建立健全网络与信息安全责任体系,学校各二级单位、全体师生员工应依照本办法要求及学校相关标准规范履行网络与信息安全的义务和责任。

 

第二章  组织机构与职责

第四条 学校党委对学校网络与信息安全工作承担主体责任,领导班子主要负责人是第一责任人,主管网络与信息安全的领导班子成员是直接责任人。

第五条 学校网络安全与信息化领导小组是学校网络与信息安全领导和决策机构,办公室设在信息化建设办公室。

党委宣传部负责网络信息内容安全的监督管理。

信息化建设办公室负责统筹学校网络与信息安全的管理和监督责任:

(一)制定网络与信息安全总体规划,并组织实施;

(二)拟定网络与信息安全管理规章制度;

(三)协调开展信息系统安全等级保护工作;

(四)负责网络与信息安全应急管理,协调处理与政府信息安全管理部门的关系;

(五)组织网络与信息安全宣传和教育培训工作;

(六)负责网络与信息安全监督检查工作;

(七)学校网络与信息安全的其他工作。

第六条 网络与教育技术中心是网络与信息安全技术支撑单位。具体职责包括:

(一)负责学校网络与信息安全防护体系的建设、运行维护;

(二)监控信息系统安全总体状况,提出安全分析报告;

(三)协调和协助学校各二级单位网络与信息安全应急处理工作;

(四)对二级单位的网络与信息安全工作进行技术指导和服务支持。

(五)完成学校网络安全与信息化领导小组交办的工作。

第七条 学校各二级单位是本单位网络与信息安全工作的责任主体,各二级单位主要负责人是本单位网络与信息安全工作第一责任人,负责按本办法落实网络与信息安全工作。

各二级单位应设一名网络与信息安全管理员,负责本单位网络与信息安全保护措施的具体落实,对上网人员进行网络与信息安全教育和培训,与信息化建设办公室(网络与教育技术中心)(以下简称“信息化办”)协同配合,共同做好本单位网络与信息安全运行、管理和维护工作。

 

第三章  校园网络管理

第八条 校园网络是指校园范围内由计算机或者其他信息终端机相关设备组成的按照一定的规则和程度对信息进行收集、存储、传输、交换、处理的系统。包括校园有线网络、无线网络和各种虚拟专网。

第九条 校园网络规划由信息化办统筹制定。涉及光缆布线、网络机房、网络设备、网管系统、域名管理、安全防护、认证计费、网络接入与运维等方面,由信息化办负责建设、运行、维护和管理。未经信息化办批准,不得以任何方式试图登录、修改、设置、破坏校园网内的交换机、路由器和服务器等。

学校所有基建、修缮工程应将工程范围内校园网络建设内容按照学校校园网络规划的标准纳入工程设计、实施和竣工验收范畴。

第十条 校园网络与互联网及其他公共信息网络实行逻辑隔离,由信息化办统一出口、统一管理和统一防护。未经批准,学校各二级单位在校园内不得擅自通过其他渠道接入互联网及其他公共信息网络。

第十一条 信息化办应采取访问控制、安全审计、完整性检查、入侵防范、恶意代码防范等措施加强校园网络边界防护。

第十二条 师生员工接入校园网络,实行“实名注册、认证上网”制度;学校非涉密信息系统接入校园网络,实行接入审批和备案登记制度。网络接入实名管理制度由信息化办负责实施。涉密信息系统不得接入校园网络。

任何单位和个人不得窃取或盗用他人的用户名、口令、IP地址和MAC地址等。

第十三条 校园网络接入单位负责提供本单位所需的网络设备间和电源保障,协助解决网络布线和设备安装所需空间。

第十四条 严禁任何单位和个人利用校园网络及设施开展经营性活动。

 

第四章  数据中心安全管理

第十五条 数据中心主要包括支撑学校信息系统的物理环境(包含机房)、软硬件设备设施、云计算平台、学校中心数据库(包含基础数据库)、数据共享交换平台、统一身份认证平台及统一信息门户等信息化基础设施和平台。信息化办负责数据中心的建设、运行、维护和管理。

第十六条 信息化办负责数据中心物理环境、软硬件设备设施和云计算平台的建设和安全管理;根据信息系统安全等级的不同,对数据中心进行分区、分域管理,采取必要的技术措施对不同等级分区进行防护、对不同安全域之间实施访问控制。

第十七条 信息化办负责学校中心数据库、数据共享交换平台的建设和安全管理,负责基础数据库与各二级单位业务数据库之间完成数据交换和共享。各二级单位负责建设、维护本单位业务应用系统所配套的业务数据库,并对本单位业务数据库及所申请的共享数据的安全负责。

第十八条 服务器要有防入侵,防攻击措施,及时修补操作系统漏洞。安装防病毒软件,确保防病毒软件毒库及时自动或手工更新,定期对服务器进行杀毒。服务器管理人员负责定期查看防病毒软件日志,查看病毒感染记录,对于没有完全清除的病毒,应立即使用专杀工具处理。病毒清除完毕后,要将被防病毒软件的保护文件恢复,重新安装不能正常运行的软件。不安装不必要的应用软件,对需要的软件及时升级。

第十九条 统一身份认证平台为学校信息系统提供统一的身份管理、安全的认证机制、审计及标准接口。学校各二级单位建设面向师生服务的应用系统时,应使用统一身份认证平台进行身份认证。信息化办负责统一身份认证平台的安全,学校各二级单位负责本单位应用系统的权限管理及安全。

第二十条 学校各二级单位应依托学校数据中心开展信息系统建设。涉及学校基础数据、师生员工个人信息或敏感信息的信息系统,不得部署在校外数据中心。未经批准,严禁使用境外数据中心。

第二十一条 学校数据中心的使用实施准入管理,符合数据中心的技术规范和标准的系统方可上线运行。

第二十二条 数据的使用单位应遵循数据中心相关管理制度和技术标准,按需申请、有序使用,不得利用数据中心资源从事任何与申请项目无关或危害网络与信息安全的活动。

 

第五章  信息系统建设、运行和维护管理

第二十三条 学校按照同步规划、同步建设、同步运行的原则,规划、设计、建设、运行、管理网络安全设施,建立健全网络与信息安全防护体系,全面实施信息系统安全等级保护制度。

第二十四条 学校制定信息系统项目总体规划和顶层设计。各二级单位根据本单位业务需求,提出信息系统建设方案,按照“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则落实信息系统运维及管理责任。

第二十五条 学校统筹信息系统安全等级保护工作,组织各二级单位开展信息系统定级、系统备案、等级测评、建设整改。按照“自主定级、自主保护”的原则,信息系统建设单位是信息系统安全等级保护的责任主体,具体负责系统定级、建设整改、安全自查、系统备案、等级测评并接受有关部门监督检查。

第二十六条 为确保项目质量,信息系统在立项阶段应组织需求、技术、预算等方面的专家论证。

第二十七条 信息系统在建设阶段应确定安全保护等级,同步落实安全保护措施,完成信息系统等级保护定级的系统方可正式上线运行。

第二十八条 信息系统开发环境、测试环境和运行环境应严格隔离。

第二十九条 信息系统建设单位负责信息系统维护,根据实际需要,可以委托外单位维护信息系统。

第三十条 信息系统建设单位应定期对终端计算机和承担网络与信息系统运行的关键设备(服务器、安全设备、网络设备)进行安全审计,通过记录、检查系统和用户活动信息,及时发现系统漏洞,处置异常访问和操作。

第三十一条 信息系统建设单位应制定信息系统使用与维护的管理制度,规范信息系统使用者和维护者的操作行为。

第三十二条 信息系统建设单位应定期对重要数据和信息系统进行容灾备份,定期测试备份与恢复计划,确保备份数据和备用资源的有效性。要制定网络与信息安全事件应急预案,并定期进行演练。

第三十三条 对于安全等级第二级以上(含第二级)的信息系统,学校定期组织开展等级测评,查找、发现并及时整改安全问题、漏洞和隐患。

第三十四条 接入互联网的服务器及应用系统,应该采取必要的网络安全防护措施、安装防护软件,并将防护措施上报学校备案。

第三十五条 学校对各单位服务器和应用系统进行必要的安全监察和评测,对达不到安全要求的,关闭对外服务,整改合格后系统方可上线运行。

第三十六条 信息系统建设单位应当按照需求与系统提供商签订安全保密协议,明确安全和保密义务与责任。

第三十七条 信息系统建设单位应建立健全信息系统安全管理制度,应按照《GB/T 20269-2006 信息安全技术 信息系统安全管理要求》要求,制定完善信息系统安全管理内容及范围,至少包括以下几方面的内容:

——落实安全管理机构及安全管理人员,明确角色与职责,制定安全规划;

——开发安全策略;

——实施风险管理;

——制定业务持续性计划和灾难恢复计划;

——选择与实施安全措施;

——保证配置、变更的正确与安全性;

——进行安全审计、保证维护支持;

——进行监控、检查,处理安全事件;

——安全意识与安全教育;

——人员安全管理等。

 

第六章  信息系统数据安全管理

第三十八条 信息系统数据是指信息系统收集、存储、传输、处理和产生的各种电子数据,包括但不限于网站内容、业务数据、网络课程、图书资源、日志记录等。

第三十九条 信息系统数据的所有者是数据安全管理的责任主体,应当落实管理和技术措施,规范数据的收集、存储、传输和使用,确保数据安全。

第四十条 信息系统数据收集应遵循“最少够用”原则,不得收集与信息系统业务服务无关的个人信息。按照“谁收集、谁负责”的原则,收集个人信息的单位是个人信息保护的责任主体,应当对其收集的个人信息严格保密,并建立健全相关保护制度。

 

第七章  机房安全管理

第四十一条 机房安全是信息系统安全运行的物理环境基础,机房安全建设在场地选择、内部安全防护、防火、供配电系统、空调、防水防潮、防静电、接地与防雷击、机房电磁防护、通信线路安全等都有特殊要求,各二级单位建设机房均应符合《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)要求。

第四十二条 学校各机房的建设遵循“谁建设谁主管、谁建设谁负责、谁建设谁运维”原则。

第四十三条 学校各机房管理须建立机房安全管理机构,各二级单位负责人为机房安全管理责任人,明确专人负责机房日常管理活动。须依据《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术 信息系统安全等级保护基本要求》(GBT 22239-2008)文件完善机房日常活动安全管理制度,明确日常运维的各项要求。

 

第八章  学校网站安全管理

第四十四条 学校各二级单位开办互联网网站,应使用学校互联网域名和互联网IP地址,在学校现有的网站群平台上搭建,并遵守学校相关规章制度。

第四十五条 各二级单位应建立网站值守制度,制定应急处置流程,组织专人对网站进行检测,发现网站运行异常及时处置,同时将相关情况及时报送至学校。

第四十六条 各二级单位应建立完善的网站信息发布与审核制度,确定负责内容编辑、内容审核、内容发布的人员名单,明确审核与发布程序,保存相关操作记录。

 

第九章  电子邮件安全管理

第四十七条 学校为各二级单位和师生提供电子邮箱,并负责学校电子邮件的安全管理。学校各单位和师生员工使用学校电子邮箱应遵守学校电子邮箱管理相关规章制度。

第四十八条 师生员工须对使用其电子邮箱账号开展的所有活动负责,应妥善保管本人使用的电子邮箱账号和密码,确保密码具有一定强度并定期更换。

 

第十章  终端计算机安全管理

第四十九条 终端计算机是指由学校师生员工使用并从事学校教学、科研、管理等活动的各类计算机及附属设备,包括台式电脑、笔记本电脑及其它移动终端。

第五十条 终端计算机使用人按照“谁使用、谁负责”的原则,对其终端计算机负有保管和安全使用的责任。

第五十一条 终端计算机设备上安装、运行的软件应为正版软件。在终端计算机上使用盗版软件带来的安全和法律责任由终端计算机使用人承担。

第五十二条 非涉密计算机不得存储和处理涉密信息。

第五十三条 终端计算机使用人应做好终端计算机的安全防范,使用并维护终端计算机安装的防病毒软件,确保防病毒软件病毒库及时更新,定期对终端进行病毒扫描,如发现终端计算机出现可能由病毒或攻击导致的异常系统行为或其他安全问题,应立即断网后进行处置。

第五十四条 终端计算机使用人应对终端计算机妥善保管。若发生因损坏丢失造成的数据泄露及其他网络安全事件,由终端计算机使用人负责。

 

第十一章  存储介质安全管理

第五十五条 存储介质是指存储数据的载体,主要包括硬盘、存储阵列、磁带库等不可移动存储介质,以及移动硬盘、U盘等可移动存储介质。

第五十六条 存储阵列、磁带库等大量介质应托管在学校数据中心统一运行、维护和管理。

第五十七条 非涉密移动存储介质不得用于存储涉密信息,不得在涉密计算机上使用。

第五十八条 介质使用人应注意移动存储介质的内容管理,对送出维修或销毁的介质应事先清除敏感信息。

 

第十二章  人员安全管理

第五十九条 学校配备专职安全管理人员。学校各二级单位应建立健全本单位的岗位信息安全责任制度,明确岗位及人员的信息安全责任。

第六十条 学校各二级单位关键岗位(安全管理员、系统管理员、数据库管理员、网络管理员、重要业务开发人员、系统维护人员、重要业务应用操作人员等)的计算机使用和管理人员应签订安全与保密协议,明确信息安全与保密要求和责任。

第六十一条 学校各二级单位关键岗位人员录用应确认其具有基本的专业技术水平,人员录用前要进行网络与信息安全培训。

第六十二条 学校各二级单位应加强关键岗位人员离岗(离职)管理,严格规范人员离岗(离职)过程。立即终止离岗(离职)人员的所有访问权限,收回所有相关证件、徽章、密钥、访问控制标记等,收回本单位所提供的软硬件设备等;关键岗位人员离岗(离职)必须经单位人事部门严格办理离岗(离职)手续,严格进行离岗(离职)安全审查,签订离岗(离职)后的保密承诺书。

第六十三条 学校各二级单位应定期对网络与信息安全岗位的人员进行不同侧重的安全知识和技能的培训与考核,并对培训及考核结果进行记录和保存;学校各二级单位应对关键岗位人员定期进行审查,如发现其违反安全规定,应控制使用或采取必要的应对措施。

 

第十三章  外包服务安全管理

第六十四条 信息技术外包服务是指信息系统的开发和运维的外包。

第六十五条 外包服务需求单位应与信息技术外包服务提供商签订服务合同和信息安全与保密协议,明确信息安全与保密责任,要求服务提供商不得将服务转包,不得泄露、扩散、转让服务过程中获知的敏感信息,不得占有服务过程中产生的任何信息资产,不得以服务为由强制要求委托方购买、使用指定产品。

第六十六条 外包开发的系统、软件上线应用前,外包服务需求单位应组织安全检查,要求开发方及时提供系统、软件的升级、漏洞等信息和相应服务。

第六十七条 信息系统运维如需采用远程方式进行,必须通过远程在线运维管理设备统一进行管理。

 

第十四章  网络与信息安全应急管理

第六十八条 网络安全与信息化领导小组负责学校网络与信息安全应急工作的统筹管理,制定学校网络与信息安全事件应急预案。

第六十九条 学校对网络与信息安全事件进行分级管理。

第七十条  学校定期组织信息技术安全应急演练,评估并适时组织网络与信息安全应急预案修订。学校各二级单位应组织开展网络与信息安全应急预案的宣传、教育和培训,确保相关人员熟悉应急预案。

第七十一条 学校组建网络与信息安全应急技术支援队伍,完善24小时应急值守制度,建设完善“物防、技防、人防”等三防体系,提高信息安全事件的预防、预警和应对能力,预防和减轻信息安全事件造成的损失和危害。

第七十二条 学校各二级单位应按照学校网络与信息安全应急预案,做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作。做到安全事件早发现、早报告、早控制、早解决。

第七十三条 学校各二级单位或师生员工均有义务及时向学校报告网络信息安全事件,不得在未授权情况下对外公布、尝试或利用所发现的安全漏洞或安全问题。

 

第十五章  信息安全教育培训

第七十四条 学校组织网络与信息安全宣传和教育培训工作,建立健全相关制度。

第七十五条 学校应针对不同岗位,制定不同的网络与信息安全教育和培训计划,定期组织开展针对师生员工的信息安全教育,提高师生员工的安全和防范意识。

第七十六条 学校定期开展针对信息安全管理人员和技术人员的专业技能培训,培训内容至少包括安全知识、安全技术、安全标准、安全要求、法律责任和业务控制措施等。

第七十七条 学校应对网络与信息安全人员的安全资质进行管理,并定期进行检查和评估,检查和评估结果进行记录和保存。

 

第十六章  信息安全检查监督

第七十八条 学校各二级单位定期对本单位信息系统的安全状况、安全保护制度及措施的落实情况进行自查,并配合有关部门的信息安全检查、信息内容检查、保密检查与审批等工作。

第七十九条 学校对各二级单位的网络与信息安全工作落实情况进行检查,对发现的问题下达限期整改通知书,责成相关单位制订整改方案并落实到位。

第八十条 学校对年度安全检查情况进行全面总结,并形成检查报告。

 

第十七章  网络与信息安全责任追究

第八十一条 学校建立网络与信息安全责任追究和倒查机制。

第八十二条 学校各二级单位在收到学校网络与信息安全限期整改通知书后,整改不力的,学校给予通报批评;玩忽职守、失职渎职造成严重后果的,依纪依规追究相关人员的责任。

第八十三条 学校各二级单位应按照网络与信息安全事件报告与处置流程及时、如实地报告和妥善处置信息技术安全事件。如有瞒报、缓报、处置和整改不力等情况,学校将对相关单位责任人进行约谈或通报, 造成严重后果的,依纪依法追究相关人员的责任。

第八十四条 师生员工违反本办法规定的,由学校责令整改,并通报批评;拒不改正或者导致危害网络与信息安全等严重后果的,依纪依法追究相关人员的责任。

 

第十八章  附则

第八十五条 涉及国家秘密的信息系统,执行学校保密工作的相关规定。

第八十六条 学校各二级单位可参照本办法制订本单位的实施细则。

第八十七条 本办法自学校发布之日起施行,由信息化建设办公室负责解释。学校原有相关规定与本办法不一致的,按本办法执行。


上一条:湖北中医药大学信息化项目管理办法(试行)

关闭

推荐资讯
最后更新
热门点击